Asset Management: come e perché favorisce la sicurezza informatica in azienda

Una delle principali sfide nel campo cybersecurity è la gestione della complessità.

Al giorno d’oggi gli esperti si trovano a dover amministrare ecosistemi IT sempre più ibridi e device sempre più numerosi e sofisticati.

Come fare, dunque, a gestire e proteggere device, utenti, dati e risorse in maniera ottimale?

La parola chiave è visibilità, ovvero avere piena consapevolezza di tutto ciò che si muove e agisce all’interno della rete.

In questo articolo approfondiremo il concetto di Asset Management, analizzandone metodi di applicazione e vantaggi per la sicurezza informatica.
Cosa si intende per asset informatici aziendali
Asset management delle risorse IT: di cosa si tratta
Best practice di gestione degli asset aziendali
Asset Management e compliance normativa
Conclusioni

Cosa si intende per asset informatici aziendali

In un’accezione generale, si definisce asset qualsiasi risorsa in grado di generare profitti in modo diretto o indiretto.

In ambito prettamente informatico, si possono distinguere quattro principali macro-categorie di risorse:

hardware, comprendente tutto ciò che riguarda l’equipaggiamento fisico dell’azienda, come computer, server, router o firewall
software, ovvero l’insieme di tutti quei programmi e applicativi che l’impresa utilizza per gestire le proprie attività
dati, equivalente all’intero patrimonio informativo di un’azienda
utenti, ovvero tutti quegli agenti che interagiscono nella gestione delle risorse

Asset management delle risorse IT: di cosa si tratta

Nel contesto informatico, l’Asset Management viene ribattezzato IT Asset Management (ITAM), sigla con cui si intende il processo di gestione degli asset informatici di un’organizzazione.

L’ITAM prevede la gestione dell’intero ciclo di vita degli asset informatici, dalla loro acquisizione alla loro dismissione.

Questo include:

inventario
monitoraggio
manutenzione
sostituzione
gestione di licenze e procedure

Uno dei principali fattori di rischio, infatti, è lo shadow IT, ovvero l’insieme di tutti quei dispositivi “invisibili” che vengono introdotti nel perimetro aziendale senza autorizzazione.

Si tratta per lo più di dispositivi mobili utilizzati dai dipendenti per accedere, senza che sia stato espresso esplicito consenso, a risorse e servizi interni all’impresa.

Il fenomeno è noto come Bring Your Own Device, e, molto spesso, costituisce una porta d’ingresso privilegiata per hacker e attacchi informatici.

Non essendo dotati di adeguate misure di sicurezza, infatti, tali dispositivi risultano facilmente individuabili e attaccabili da parte dei criminali informatici, ma quasi impossibili da gestire e monitorare dai Security Officer aziendali.

Pertanto, uno stato di completa visibilità sugli asset aziendali garantisce

una pronta individuazione e correzione di falle di sicurezza
l’eventuale esposizione a rischi e minacce informatiche

In sintesi, dunque, la gestione delle risorse in ottica cybersecurity si traduce come la capacità di un’organizzazione di condurre un processo di identificazione continuo e in tempo reale di tutte le tecnologie abilitate.

Nel prossimo capitolo esamineremo alcune buone pratiche per una corretta gestione delle risorse aziendali.

Best practice di gestione degli asset aziendali

Come abbiamo visto, il fine dell’Asset Management è quello di ottenere una conoscenza esaustiva di tutte le risorse che si muovono all’interno della rete, al fine di poterle gestire e monitorare in ottica di prevenzione dagli attacchi informatici.

Vediamo, dunque, come procedere:

come primo step, è pertanto necessario inventariare tutti gli asset interessati nel processo produttivo
in secondo luogo, questi vengono classificati e catalogati per categoria
a questo punto, i device e gli strumenti dovranno essere associati ad uno o più soggetti che lo avranno in uso, e che ne dovranno garantire la corretta gestione, manutenzione e protezione

Pertanto, per ogni asset verrà specificato: l’ID, l’ubicazione, una breve descrizione, la categoria di appartenenza, l’indirizzo IP.

A questi fattori ne vengono associati ulteriori come:

dati gestiti e trattati dal singolo device
potenziali minacce cui potrebbe essere esposto
misure preventive di mitigazione per ogni singola minaccia

Asset Management e compliance normativa

L’Asset Management è identificato come prioritario dal NIST Cybersecurity Framework, l’insieme di linee guida riconosciute a livello internazionale che coadiuva aziende e organizzazioni nei processi di rilevazione, mitigazione e risposta agli incidenti informatici.

Sulla falsariga delle disposizioni internazionali, è stato redatto il Framework Nazionale per la Cybersecurity e la Data Protection.

Questo vuole porsi come strumento per guidare le organizzazioni nazionali nella valutazione della propria Security Posture.

Nell’ambito della gestione delle risorse, le linee guida nazionali mettono a disposizione un elenco strutturato di linee guida per raggiungere diversi obiettivi di sicurezza.

Nello specifico, si tratta di:

Identify (Identifica)
Protect (Proteggi)
Detect (Rileva)
Respond (Rispondi)
Recovery (Recupera)

Come si ha modo di notare, la funzione “identifica” è evidenziata come primo punto da perseguire, proprio perché permette di contestualizzare, quindi di calare nella specifica realtà in esame, la valutazione del livello di sicurezza complessivo dell’azienda.

In tal modo, l’impresa può

avere un quadro d’insieme degli asset coinvolti nel processo produttivo
stabilirne il livello di criticità e relativa priorità d’intervento

al fine di delineare una strategia di sicurezza in linea con gli obiettivi di business.

Conclusioni

In conclusione, una gestione dinamica degli asset aziendali consente di accelerare i processi di manutenzione e incident response, fortificando e rendendo più fluidi i processi produttivi.

Per applicarla efficacemente, l’azienda deve adottare una strategia coerente e ben definita, che preveda:

l’identificazione e la valutazione dei beni materiali e immateriali utilizzati
il monitoraggio continuo delle attività
l’adozione di sistemi di protezione contro i rischi informatici

In questo modo, l’azienda potrà garantire la sicurezza e la disponibilità dei propri dati, proteggendo il proprio business e garantendone il successo nel tempo.

Autore articolo
Gli ultimi articoli

Ilaria Della Queva

Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.